Przewodnik po RODO

Koordynator d/s reformy prawa i ochrony danych osobowych dr Maciej Kawecki dwoi się i troi, występuje, tłumaczy, uświadamia, ale jak badania wykazują świadomość RODO i tak jest mała. Dlaczego?

W mojej ocenie wzrost świadomości to będą lata a nie miesiące i jak się okazuje lata, gdy RODO będzie już stosowane, gdyż aktualnie w okresie przejściowym niewiele firm szczególnie z sektora MŚP w ogóle interesuje się tematem.

Okazuje się, że do RODO zostało niecałe 4 miesiące a badania wykazują, iż świadomość tej reformy jest wciąż mała, co oznacza, że właściwie większość firm  wejdzie w erę RODO zupełnie do niego nieprzygotowana.

Jak widać nawet widmo milionowych kar nie sprawiło zmiany podejścia to ochrony danych osobowych. Wieloletnie lekceważenie tego tematu nawet w obliczu kar, zbiera swoje żniwo w postaci braku zainteresowania i realnych chęci do naprawienia stanu dotychczasowego.

Z okazji Dnia Ochrony Danych Osobowych, Ministerstwo Przedsiębiorczości i Technologii opublikowało Przewodnik po RODO dla małych i średnich przedsiębiorców, w celu uświadomienia firm o reformie i wynikających z niej konsekwencjach. Autorem Przewodnika jest dr Paweł Litwiński, zachęcam do pobierania, czytania i stosowania.

Link do przewodnika: https://www.facebook.com/BartaLitwinski/posts/2045944049024334.

 

Ograniczenie obowiązków informacyjnych dla MŚP

Ostatnio gorącym tematem stały się rzekome wyłączenia w zakresie stosowania obowiązków informacyjnych przewidzianych w RODO dla MŚP. Wyłączenia ma wprowadzić krajowa ustawa o ochronie danych osobowych, która aktualnie jest procedowana.

Informację podały media w taki sposób, że powstało zamieszanie wokół MŚP i w ogóle ich podlegania pod reżim RODO. Jednakże omawiana kwestia dotyczyła nie wszystkich obowiązków przewidzianych w RODO a jedynie obowiązków informacyjnych ciążących na administratorze danych.

Niemniej jednak z punktu widzenia osób, których dane są przetwarzane i zasady przejrzystości przetwarzania danych, obowiązki informacyjne mają kluczowe znaczenie. Podmiot, który nie wie kto, w jakim celu oraz na jakiej podstawie przetwarza jego dane nie ma szans na należytą ochronę a także korzystanie z przyznanych mu praw.

Wszyscy eksperci byli zgodni, iż całkowite wyłączenie jest niezgodne z RODO, gdyż godzi w istotę prawa do ochrony danych osobowych. Niepewność jednak została skutecznie zasiana.

Zamieszanie woków w/w kwestii zaowocowało wydaniem  wspólnego oświadczenia MC i MPiT pt. Stosowanie przepisów RODO do MŚP.

W oświadczeniu czytamy:

“W dużej części przypadków, realizowanie rozbudowanego obowiązku informacyjnego, o którym mowa w art. 13 RODO jest bardzo trudne. Dotyczy to zwłaszcza przypadków, gdy pierwszy kontakt klienta z przedsiębiorcą następuje drogą telefoniczną, która utrudnia kilkuminutowe odczytywanie długich komunikatów i treści prawnych.

Dlatego zgodnie z propozycją Ministerstwa Cyfryzacji uzgodnioną z Ministerstwem Przedsiębiorczości i Technologii, MŚP – firmy zatrudniające mniej niż 250 osób, nie przetwarzające danych wrażliwych oraz nie udostępniające danych innym podmiotom – mają być wyłączone ze stosowania art. 13 ust. 2.  MŚP nie będą więc musiały informować swoich klientów m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Które to jednak prawa będą obywatelom przysługiwały.

Każdy przedsiębiorca będzie natomiast zobowiązany do poinformowania osób których dane będą przetwarzane (na etapie ich gromadzenia), o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (o ile takiego posiada).”

Reasumując nie ma mowy o wyłączeniu obowiązków informacyjnych dla sektora MŚP a jedynie o ich ograniczeniu. Najważniejsze informacje wymagane przez RODO, każdy przedsiębiorca należący do sektora MŚP, będzie zobowiązany przekazać podmiotowi danych a w przypadku niewywiązania się z tego obowiązku niewątpliwie narazi się na sankcje karne.

Osoby fizyczne prowadzące działalność gospodarczą pod ochroną RODO

Ochrona danych osobowych osób fizycznych prowadzących działalność gospodarczą w polskim porządku prawnym miała różne oblicza od wyłączenia tych danych spod reżimu ustawy po całkowitą ich ochronę.

Wiele osób zastanawia się jak ta kwestia będzie wyglądała w świetle RODO w szczególności, iż RODO wyraźnie wyłącza osoby prawne. Rozporządzenie stanowi, że jego przepisy nie znajdują zastosowania do oznaczeń osób prawnych.

Osoby fizyczne prowadzące działalność gospodarczą w polskim porządku prawnym nie są osobami prawnymi. Według wyjaśnienia tej kwestii przez KE “jeżeli w polskim porządku prawnym osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, czyli nie mają charakteru spółek, to znaczy, że w pełni podlegają nowym przepisom o ochronie danych osobowych.”

Taka też była interpretacja krajowa po wykreśleniu art. 39 b ustawy o swobodzie działalności gospodarczej, który regulował zakres podlegania osób fizycznych prowadzących działalność pod reżim ustawy o ochronie danych osobowych. Komisja potwierdziła tę interpretację.

Wracamy więc do sytuacji, w której dane osobowe osób fizycznych prowadzących działalność podlegają w całości pod RODO